|
|
조회수 |
 |
5445 |
등록일 |
 |
2003/08/13 오전 10:26:40 |
|
|
|
windows 사용자 긴급 보안패치 알림!!
* 현재 가장 많이 사용되고 있는 윈도우 NT/2000/XP 운영체제에 내장된 원격프로시져호출(RPC, Remote Procedure Call)과 관련된 취약점이 발견되었습니다.
이에 따라 정보통신부(http://www.mic.go.kr/index.jsp)에서는 RPC 관련 Worm에 대한 경고단계의 경보를 재발령하는 보도자료를 8월 12일 오전 중 발표하였습니다.
만약, 아직도 패치를 설치하지 않은 고객이 있으시다면 지금 바로 설치하시기 바랍니다.
또한, 이미 감염된 컴퓨터에 대하여 취할 수 있는 응급 조치를 안내하고 있사오니 참고하십시오.
[최대 위험 등급] 높음
[감염될 수 있는 제품]
Windows NT 4.0 Server / Workstation / Terminal Server Edition / Enterprise Edition
Windows 2000 Professional / Server / Advanced Server / Datacenter Server
Windows XP Home Edition / Professional Edition
Windows Server 2003 Web Edition / Standard Edition / Enterprise Edition / Datacenter Edition
주의: Windows 95, 98, 98 SE, Me는 이 웜의 영향을 받지 않습니다.
[감염 증상]
- 다음 메시지가 화면에 표시됩니다.

- 컴퓨터가 저절로 재부팅되는 일이 계속해서 반복됩니다.
- 작업 관리자에 MSBLAST.EXE가 실행되고 있습니다.
- Winnt\System32 또는 Windows\System32에 6,176 바이트 크기의 msblast.exe가 있습니다.
- 레지스트리 키 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run에
windows auto update 값이 만들어져서 내용이 MSBLAST.EXE로 되어 있습니다.
- TCP 포트 4444로 cmd.exe가 listen 상태로 있습니다.
[예방 방법]
2003년 7월 16일 발표된 보안 패치 MS03-026을 설치합니다.
http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp
네트워크가 외부에 노출된 공인 IP인지 사설 IP인지 여부와 관계없이, 또한 라우터와 방화벽에서 관련된 포트를 모두 차단하고 있다고 하더라도 모든 컴퓨터에 위 패치를 반드시 설치하시는 것이 좋습니다.
이 패치가 이미 설치되어 있는지의 여부는 위 게시판의 [이 패치에 관한 추가 정보] 중 [패치 설치 확인]으로 확인하시기 바랍니다.
[치료 방법]
이미 감염되었을 경우 패치 설치만으로 시스템이 정상화되지 않습니다. 다음과 같은 응급 조치를 취하십시오.
1) 이미 실행 중인 msblast.exe 종료하기
- Ctrl + Shift + Esc를 눌러서 [작업 관리자]를 엽니다.
- [프로세스] 탭에서 msblast.exe를 찾습니다. 이미지 이름 줄을 눌러서 알파벳 순으로 정렬하면 쉽게 찾을 수 있습니다.
- msblast.exe를 선택하고 [프로세스 끝내기] 버튼을 누릅니다.
2) MS03-026 패치 다운로드
- 위 예방 방법에서 설명한 MS03-026 패치를 다운로드합니다.
- 곧바로 설치하지 않고, 안전한 위치에 저장합니다.
3) 네트워크 연결 끊기
- 재감염을 막기 위해 네트워크 케이블을 뽑습니다.
- 또한, Windows XP의 경우 [내 컴퓨터]의 [속성] 중 [시스템 복원] 탭에서 모든 드라이브에 시스템 복원 사용
안 함을 체크하십시오. 나중에 치료가 끝난 후에 필요에 따라 다시 체크를 제거할 수 있습니다.
4) 웜 파일 제거하기
- 탐색기에서 Windows\System32 또는 Winnt\System32를 엽니다.
- msblast.exe를 찾아서 삭제합니다.
- 휴지통으로 버렸을 경우 휴지통을 비웁니다.
5) 웜이 자동 실행되도록 하는 레지스트리 값 제거하기
- [시작] - [실행]에서 regedit를 실행합니다.
- [레지스트리 편집기]의 왼쪽 트리에서 다음 키를 선택합니다.
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run
- 오른쪽 창에서 windows auto update라는 값을 선택합니다.
- Del 키를 눌러서 삭제합니다.
- [레지스트리 편집기]를 종료하고 컴퓨터를 재부팅합니다.
6) 패치 적용하기
- 위 단계와 같이 치료했다고 하더라도 패치가 설치되지 않은 컴퓨터는 쉽게 재감염될 수 있습니다. 따라서 앞서 다운 로드하여 보관중인 MS03-026 패치를 반드시 설치하십시오.
- 패치가 설치된 후 재부팅 할 것인지 물을 때 반드시 재부팅합니다.
7) 네크워크 케이블 연결 후 정상적으로 사용
주의: 한 번 이 웜에 감염된 컴퓨터는 감염되어 있던 동안 공격자가 침입할 수 있는 경로를 열기 때문에 그 시간 동안 공격자가 시스템 설정을 바꾸거나 자료를 열람했을 수도 있습니다.
이 경우 포맷 후 시스템을 재설치하기 전까지는 안전하다고 볼 수 없습니다.
[관련 사이트]
- 마이크로소프트 보안 패치 : http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp
- 안철수 연구소: http://home.ahnlab.com/smart2u/virus_detail_1202.html
- 하우리: http://www.hauri.co.kr/virus/vir_read.html?code=WOW3000424
- Symantec: http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
- Trend Micro: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
- McAfee: http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547
<자료출처 : 마이크로소프트>
|
|
|
|
|